03.05.2017

Каждый инцидент с ИТ-безопасностью на крупном предприятии, компании с множеством офисов и представительств, в банках должен быть расследован на высоком уровне, а изъяны тут же исправлены. Но просматривать вручную массы логов просто невозможно, а уж тем более невозможно собрать по крупицам информацию, которая привела к инциденту.

Для этого разработаны системы класса SIEM (Security Information and Event Management). Сами по себе они не способны отражать атаки, но их функция более важная - анализ информации, поступающей от защитных систем типа DLP, IDS, антивирусов, маршрутизаторов и т.д. и дальнейшего выявления отклонения от норм по каким-то критериям. Как только найдено отклонение - генерируем отчет и сотрудники ИТ-безопасности могут приступить к его устранению.

Помимо анализа данных и оповещения об инцидентах, SEIM-системы используются для предоставления доказательной базы в случае инцидента, которая пригодна как для внутренних расследований, так и для судебных разбирательств.

Также SIEM-решения предоставляют всю необходимую подтверждающую информацию для аудитов на соответствие различным отраслевым стандартам.

Эффективность системы сможет оценить не только отдел ИБ, но и ИТ-департамент. SIEM-решения дают возможность обеспечивать непрерывность работы ИТ-сервисов, обнаруживать сбои в работе информационных и операционных систем, а также аппаратного обеспечения.

Если говорить об основных функциях, то SIEM способна выявлять:

  • Сетевые атаки во внутреннем и внешнем периметрах;
  • Вирусные эпидемии или отдельные вирусные заражения, не удаленные вирусы, бэкдоры и трояны;
  • Попытки несанкционированного доступа к конфиденциальной информации;
  • Фрод и мошенничество;
  • Ошибки и сбои в работе информационных систем;
  • Уязвимости;
  • Ошибки конфигураций в средствах защиты и информационных системах.

Есть ошибочное мнение, что SIEM-системы доступны только для больших компаний с внушительным ИТ-бюджетом. Но сегодня существуют "коробочные" SIEM-системы класса all-in-one, в одном модуле предлагая механизмы сбора, хранения, поиска, нормализации и корреляции информации. Обратитесь к специалистам ALEKSIS PRIME и мы подберем для вас оптимальный вариант.